等级保护保护交流

等级保护与安全规划探讨,我们怎么看待等级保护？我们怎么开展等级保护？我们采用什么样的技术方法？现在，我们第一步做什么？,今天探讨的几个问题,等级保护的定义,信息安全等级保护是指根据信息系统在国家安全、社会稳定、经济秩序和公共利益等方面的重要程度以及风险威胁、安全需求、安全成本等因素，将其划分不同的安全保护等级并采取相应等级的安全保护技术、管理措施，以保障信息系统安全和信息安全。实行等级保护的目的有利于突出重点，重点解决信息基础设施、重要信息系统的信息安全薄弱的问题国内信息化发展的地区、行业不均衡的特点，信息安全的等级是客观存在的，需要满足不同行业、不同发展阶段、不同层次的要求有利于控制安全的成本,等级保护是一项国家政策,等级保护是今后一段时间内国家信息安全的基本制度（27号文、66号文明确）在信息安全领域，等级保护在未来两、三年内将作为信息安全工作的根本方法信息安全的工作思路、解决方案、工作规划、产品采购、安全集成都将依据等级保护进行今年要求完成定级工作，明年开始实施和测评,等级保护的实现原理,2003年9月中办国办颁发关于加强信息安全保障工作的意见（中办发200327号）,2004年11月四部委会签关于信息安全等级保护工作的实施意见（公通字200466号）,2005年9月国信办文件关于转发电子政务信息系统信息安全等级保护实施指南的通知（国信办200425号）,2005年公安部标准等级保护安全要求等级保护定级指南等级保护实施指南等级保护测评准则,总结成一种安全工作的方法和原则,最先作为“适度安全”的工作思路提出,确认为国家信息安全的基本制度，安全工作的根本方法,形成等级保护的基本理论框架，制定了方法，过程和标准,1994年国务院颁布中华人民共和国计算机信息系统安全保护条例,2006年四部委会签公通字20067号文件（关于印发信息安全等级保护管理办法（试行）的通知）,等级保护政策文件演进,2007年7月16日四部门会签公信安2007861号文件：四部门下发关于开展全国重要信息系统安全等级保护定级工作的通知,正式规定了等级保护各方面的管理办法,为等级保护开展提供了基础数据参考,布置了等级保护的实质性工作的第一阶段,2007年四部委会签公通字200743号文件信息安全等级保护管理办法,替代公通字20067号文件，明确了等级保护的具体操作办法和各部委的职责，以及推进等级保护的具体事宜,2006年公安部、国信办下发了关于开展信息系统安全等级保护基础调查工作的通知,从2006年1月10日到4月10日，分三个阶段对国家重要的基础信息系统进行摸底，包括党政机关、财政、海关、能源、金融、社会保障等行业（2+2X）,2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作，其中包括公用通信网、广播电视传输网等基础信息网络以及铁路、银行、海关、税务、民航、电力、证券、保险、外交、人事劳动和社会保障、财政、等行业（2+2X）,等级保护政策文件演进,等级保护实施的通常流程,7.安全体系运营和维护,6.测评后整改,1.系统定级,3.安全体系与规划,2.等级化风险评估,4.本年安全建设系列安全项目实施内部安全管理建设,5.年度系统测评,6.测评后整改,4.下一年安全建设系列安全项目实施内部安全管理建设,5.年度系统测评,大型客户,7.安全系统运营和维护,1.系统定级,4.整改方案与计划,3.年度测评/评估,5.本年安全项目建设,6.整改后复核,中小型客户,2.系统测评准备,4.整改方案与计划,3.下一年度系统测评,5.本年安全项目建设,6.整改后复核,2.系统测评准备,我们怎么看待等级保护？,首先，我们必须要满足等级保护制度等级保护是国家信息方面的基本制度，属于法律符合性要求，进出口银行属于国家重点信息系统，需要满足此制度；那我们有几种选择呢？某种程度上来应付，尽量小的代价，只要满足公安的要求就好认真执行，以此为契机来推动信息安全工作是个很重要的国家新政策，做好它，在行业内领先，可以成为政绩,等级保护的益处,政策要求，可以促进开展信息安全工作，提起领导和各部门的重视，统一思想国家给出信息安全工作的政策方向和技术指导，我们可以规避风险依据国家要求，申请项目和经费较为容易等级保护还是一套比较先进的方法，做好了对实际工作还是有较大帮助正确定级并遵照标准执行，可以规避部分信息安全责任,等级保护的风险,要应付公安的检查和测评，额外增加工作量如果只是成为一场运动，就会劳民伤财，投资浪费标准的制定和执行都会有些僵化，如果不能很好地处理，会带来很多困扰如定级过高，过度投资额外引进一套体系而难以融合和实际情况有差距，“削足适履”等属地化管理，因为省里技术和认识的限制，可能会走样，个别省分行会承受很多压力，需要总行来处理,对待等级保护的建议,积极来对待等级保护，以此为契机来推动信息安全工作，作为“天时”，化被动为主动国家非常重视，会长期实施，每年检查，要应付也不是很容易“地利”：较好地现实情况结合，真正发挥作用有效整合和利用现有安全设施融合其他符合性要求（内控，27001等），形成一套体系反映行业与业务特性，反映安全要求的差异性，并满足超过指标的高要求避免成为走过场，来建立长效机制，做到可持续运行、发展和完善“人和”：获得领导的重视和支持，统一各部门的认识熟悉国家管理部门和测评机构的规则选择一个好的合作伙伴,我们怎么看待等级保护？我们怎么开展等级保护？我们采用什么样的技术方法？现在，我们第一步做什么？,今天探讨的几个问题,标准中的等级保护生命周期,大型系统等级保护实施流程,开展信息安全工作的总体逻辑,1.信息安全的使命和目标,3.安全现状,2.安全体系框架与指标,4.信息安全规划,5.管理体系推广与实施,7.体系运营和持续改进,6.技术体系实施与工程建设,8.定期评估、检查、审计和持续改进,安全规划的方法,每年一次滚动规划,三年一次完整规划,1.信息安全的宗旨和目标,3.信息安全现状,2.信息安全体系框架,4.信息安全规划,5.管理体系推广与实施,7.体系运营和维护,6.技术体系实施与工程建设,8.定期评估、检查、审计和持续改进,安全工作进程中关键里程碑,时间,04年,07年,会议,项目,信息安全战略使命设计,保障业务安全和稳定的运行，保证业务连续性，保护公司的商业机密和技术机密，为公司日常运转提供良好基础，支持和促进公司业务目标的实现；保护用户隐私，保护用户资料的机密性，维护用户的利益；达到国际一流、国内领先的信息安全保障水平，成为广大用户对公司信赖的基础，提高公司的安全形象，确保客户的信心；为社会和用户提供安全和持续的业务服务，维护国家安全，社会稳定和经济秩序，维护公众利益。,信息安全工作的目标设计举例,长期安全目标：建成国际一流、国内领先的信息安全保障体系，达到国际一流、国内领先的信息安全保障水平，同步或领先的公司信息化水平，保障和促进公司业务发展和业务目标的实现20042006年的安全目标：短期目标：解决目前急迫和关键的问题，争取在短期内安全状况有大幅度提高。三年目标：搭建安全体系框架，初步建成信息安全体系,信息安全工作的目标设计举例,20072009的目标：在全公司范围内逐步建设、推广和完善信息安全体系，满足奥运会，SOX及等级保护的要求，达到国内领先的水平。逐步完善现有的公司信息安全保障体系，并在全公司范围内进行推广和实施，符合国家等级保护和SOX的要求。根据2008北京奥运的安全要求，进行有针对性和高强度的安全建设和保障工作，确保奥运期间万无一失。逐步、分阶段、分部门的建立安全技术基础平台，基本完成公司信息安全技术体系的建设，并持续改进和完善。,我们怎么看待等级保护？我们怎么开展等级保护？我们采用什么样的技术方法？现在，我们第一步做什么？,今天探讨的几个问题,等级保护基本需求,政策要求符合等级保护的要求系统定级并备案系统达到基本要求相应级别的指标符合测评准则要求，并通过测评实际需求满足实际要求融合现有的安全体系或安全设施同时满足客户的其他符合性要求，如SOX，国际标准，行业标准等适应业务特性与安全要求的差异性，并满足超过指标的高要求需要整体考虑所有系统，统一进行安全建设和管理需要建立长效机制，可持续运行、发展和完善,等级保护需求分析,融合现有安全设施基础上，融合客户的其他符合性要求，从整体出发，统一建设/改造一套符合等级保护制度的安全体系采用安全域框架设计和风险评估的方法，反映行业形象与业务特性，反映安全要求的差异性，并满足超过指标的高要求采用统一安全平台建设基础上各系统单独保护的方法，解决各系统单独保护形成信息的孤岛和分散重复建设采用建立一套安全运维体系的方法，来建立长效机制，做到可持续运行、发展和完善,整体安全目标,分等级的保护对象框架,体系建设和运行,客户的信息资产,定级,分解,国家规定的各等级安全要求,定制,分等级的安全目标,等级保护体系,总体设计方法TopSec等级保护体系,安全域框架设计方法银行业,安全域框架石油行业,安全域框架-政府行业,政务外网,政务专网,政务内网,安全域框架电信行业,项目建设安全管理,安全风险管理,安全运行维护,安全体系的建设,制定企业或部门级体系,制定总体安全体系,按要求开展工作,安全目标,安全要求,提出安全规范、要求,根据要求评估建设,跟踪、定期审核安全建设工作,按要求进行安全建设工作,申请立项提供项目安全说明,弱点评估,系统加固,安全事件处理,定期评估安全现状,监控、审计安全现状,安全预警,提出规范、要求,设备安全维护,系统安全维护,考核和检查,落实规范、要求,制定运维作业计划,总部层面,省级层面,系统层面,安全运行体系设计方法,安全组织体系,主管领导（主管安全）,领导小组组长,信息安全领导小组,业务部门负责人,成员,安全部门负责人,工作组组长,管理部门负责人,成员,部门安全管理员,成员,部门安全管理员,成员,安全处负责人,负责人,安全管理员,安全技术员,信息安全工作组,信息安全处,我们怎么看待等级保护？我们怎么开展等级保护？我们采用什么样的技术方法？现在，我们第一步做什